Tin tặc đánh cắp tài khoản ngân hàng bằng quảng cáo Facebook

Thông qua các quảng cáo Facebook, các tin tặc đã lén cài đặt những ứng dụng độc hại kèm mã độc để ghi lại thông tin thanh toán như thẻ tín dụng và thông tin đăng nhập ngân hàng của nạn nhân. Đây là thủ đoạn không mới nhưng gần đây các tin tặc đang lợi dụng các quảng cáo từ hãng McDonald để trục lợi.

Thủ đoạn nào đang được các tin tặc sử dụng?

Bằng thủ đoạn chạy quảng cáo Facebook với hình đại diện là các quảng cáo khuyến mãi của McDonald các tin tặc đã lén cài đặt một loại Trojan với nhiệm vụ chính là thu thập thông tin cá nhân của người dùng, bao gồm cả những thông tin dữ liệu thanh toán và ngân hàng trực tuyến của nạn nhân.

Thông qua các ứng dụng quảng cáo Facebook, tin tặc đã lén cài mã độc đánh cắp tài khoản nạn nhân.

Được viết bằng Delphi, mã độc Mispadu (Tên gọi chính thức của mã độc) được cho là nhắm vào các đôi tượng mục tiêu ở Brazil và Mexico. Chúng sẽ lạm dụng bằng thủ thuật bật tab mới và chứa các trang hỗ trợ truyền tải dữ liệu về máy chủ của tin tặc được cài đặt sẵn.

Theo các nhà nghiên cứu từ Trend Micro, mã độc Mispadu sẽ lây lan qua các email từ đó rà soát dữ liệu của người dùng thông qua khi các nạn nhân click vào quảng cáo trên facebook. Chúng sẽ chạy các quảng cáo khuyến mãi, nhập thông tin trong tháng để có nhiều ưu đãi hơn cho người dùng. Nếu ai đó vô tình click phải sẽ được đưa đến trang McDonald giả mạo và nội dung chữ “ Tôi Muốn” khi bấm vào thì dù là vô tình hay cố ý cũng sẽ được các tin tặc lén cài đoán Script vào trong thiết bị.

Phân tích về mã độc Mispadu

Thông qua trình cài đặt MSI mã độc sẽ đặt ra một chuỗi Visual Basic Script (tập lệnh VBS) và tải xuống máy tính của nạn nhân. Sau khi kiểm tra kỹ các báo cáo chúng tôi phát hiện ra mã độc này phát tán từ các máy chủ ở khu vực Nam Mỹ gồm Brazil và Mexico.

Mã độc Mispadu được cho là được các tin tặc phát tán để đánh cắp tài khoản ngân hàng người dùng.

Các nhà nghiên cứu cũng cho biết thêm mã độc này đang nhắm mục tiêu chính là phát tán càng nhiều càng tốt và không loại trừ đây là giai đoạn lây lan của chúng để nhằm mục đích lớn hơn là đánh cắp thông tin một lúc của rất nhiều người chứ không phải chỉ vài nạn nhân.

Thậm chí chúng còn phân tích hành vi của nạn nhân trước khi thiết lập các quảng cáo hiển thị trước mắt họ. Chúng còn biết cả cách sử dụng Yandex một ứng dụng để theo dõi hoạt động người dùng và từ đó gửi email với phiếu giảm giá kèm theo ứng dụng độc hại để ghi lại toàn bộ thông tin thẻ tín dụng hay các giao dịch của nạn nhân.

Đối với một số trường hợp Mispadu còn chụp lại màn hình đồng thời mô phỏng lại hành động rê chuột của nạn nhân khi nhập bằng bằng phím ảo. Nó thập chí còn thu thập cả dấu vân tay để tiện cho việc unblock sau này. Các chuyên gia tại Brazil tin rằng đây là phương thức đăng nhập được sử dụng nhiều ở tại đất nước của họ và đồng thời khuyến cáo những người sử dụng internet nên cẩn thận với các giao dịch tiền điện tử đặc biệt là bitcoin.

Lây mạnh thông qua tiện ích mở rộng của Google Chrome

Tại Brazil, nơi mã độc Mispadu lây lan mạnh nhất đã nhận ra rằng nơi nguồn cơn chính là từ các ứng dụng mở rộng Google Chrome. Chúng tôi cũng nhận thấy rằng mục tiêu của phần mở rộng này là để đánh cắp thông tin thẻ thanh toán và dữ liệu ngân hàng nhạy cảm. Thông qua đó, các tin tặc có thể tiến hành phân tích sâu hơn về người dùng và đánh cắp tiền bạc, đặc biệt là tiền ảo.

Google Extension đang là nơi được các tin tặc phát tán mã độc.

Tiện ích mở rộng chạy ngầm có tên là Securty [sic] system 1.0 và khi tách tệp chúng tôi thấy rằng nó có 3 đoạn code Javascript và đều gửi về máy chủ tin tặc. Một trong số đó sẽ tắt tất cả các cửa sổ khác chỉ để hiển thị khung của mã độc tạo ra.

Chúng đặc biệt lưu tâm đến 3 số CVV ( 3 số phía sau thẻ tín dụng) bởi chỉ cần 3 con số này chúng sẽ dễ dàng tiến hành chuyển khoản online qua hệ thống ngân hàng. Với các dòng phía trước chúng chỉ cần gửi email nặc danh và các nạn nhân sẽ dễ dàng nhập vào để lấy khuyến mãi chẳng hạn!?

Về cơ bản, tấn công lây lan bằng Google Chrome không mới nhưng đa phần lại hiệu quả ở khu vực Bắc Mỹ. Rồi từ đó, chúng sẽ lây lan tiếp qua các mạng xã hội, có trường hợp chúng mã hóa dữ liệu và để lại thông tin liên hệ. Tất nhiên, sau đó người bị hại sẽ gọi điện để hòng chuộc lại dữ liệu quan trọng. Khi tiến hành chuyển khoản thì vô tình chúng sẽ ghi nhận lại thao tác bàn phím của nạn nhân và dễ dàng sử dụng trong lần chuyển khoản tiếp theo để lấy toàn bộ tài sản mà nạn nhân có được.

Sẽ thật tai hại nếu điều này xảy ra với các doanh nghiệp. Do vây, các doanh nghiệp cần phải có sự chuẩn bị trước. Trend Micro là đơn vị hàng đầu trong các giải pháp bảo mật doanh nghiệp, chúng tôi có cả giải pháp cho cả người dùng cá nhân. Hãy liên hệ ngay hôm nay được để tư vấn!

--------

Cùng việc hợp tác với Synk, Trend Micro sẽ sớm có thêm công nghệ tự tìm kiếm những lỗ hổng bảo mật, tăng cường thêm các chức năng bảo vệ quan trọng cho hệ thống máy tính của các khách hàng thường xuyên.